“pklein-f” — 2011/4/25 — 15:56 — page 1 — #1 


Testes de primalidade: 
probabilísticos e determinísticos 

Carlos Gustavo T. de A. Moreira, Nicolau C. Saldanha 
25 de abril de 2011 


O problema de distinguir números primos de compostos e de decom¬ 
por esses últimos em seus fatores primos é conhecido como sendo um 

dos mais importantes e úteis na aritmética.a dignidade da própria 

ciência parece requerer que todos os meios possíveis sejam explorados 
para a solução de um problema tão elegante e tão celebrado. 

Karl Friedrich Gaufi, Disquisitiones Arithmeticae, 1801 


1 Introdução 


Não se conhece nenhuma fórmula simples para gerar primos arbitrariamente gran¬ 
des. Uma palavra imprecisa mas importante nesta frase é “simples”. Existem fór¬ 
mulas que geram números primos, mas que são tão complicadas que não ajudam 
muito nem a gerar números primos explicitamente nem a responder perguntas teó¬ 
ricas sobre a distribuição dos primos. Um exemplo de fórmula para p n , o n-ésimo 
primo, é 


log 2 


\ ^ o{d) 

2 ^ 2 d - 1 


onde P n -i = p-\P2 ■ ■ ■ Pn- 1 ; aqui pi é função de Mõbius: p{n) = 0 se n for múltiplo de 
algum quadrado de primo e p(ri) = (—l) fe se n for o produto de k primos distintos. 
Deixamos a demonstração a cargo do leitor. Outra fórmula é 


Pn = Lio^cj-io^Lio 2 ”- 1 ^, 


onde ^ 

c = V = 0.0203000500000007.... 

102" 

A inutilidade desta última fórmula vem do fato que para calcular c devemos en¬ 
contrar todos os primos; a fórmula se tornaria mais interessante se existisse outra 
interpretação para o número real c, o que parece muito improvável. Mills ([6]) 
também provou que existem números reais A > 1 tal que \_A 3 J é primo para todo 
n € N. 

Um tipo de fórmula para primos, de certa forma mais intrigante, são polinómios 
de coeficientes inteiros em S variáveis com a seguinte propriedade quase mágica: a 
intersecção da imagem de N s com N é exatamente o conjunto dos números primos. 
Note que se tomarmos um ponto de N s “ao acaso”, o valor do polinómio neste 
ponto quase certamente será negativo; assim, é difícil usar o polinómio para gerar 
primos. A título de curiosidade, vejamos um exemplo de polinómio com estas 
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propriedades; aqui S = 26, o valor do polinómio é P, as variáveis chamam-se 
a,b, ..., z e A, B, ..., N são expressões auxiliares: 

P = {k + 2)(1 -A 2 -B 2 -C 2 -IV 2 ), 

A = wz + h + j - q, 

B = ( gk + 2g + k + l)(/i + j) + h — z, 

C = 16 (k + 1 ) 3 (k + 2)(n + l) 2 + 1 - / 2 , 

£) = 2n + p + g , + -2 — e, 

E = e 3 (e + 2)(a + l) 2 + 1 — o 2 , 

F = (a 2 - l)y 2 + 1 - z 2 , 

G = 16r 2 y 4 (a 2 - 1) + 1 - u 2 , 

H = ((a + u 2 (u 2 — a)) 2 — l)(n + Ady) 2 + 1 — (a; + cu) 2 , 

I = (a 2 — 1 )l 2 + 1 - m 2 , 

J = ai+ k+ l — l — i, 

K = n + l+v-y, 

L=p + l(a-n- 1) + b(2an + 2a - n 2 - 2n - 2) - m, 

M = q + y{a — p— 1) + s(2ap + 2a - p 2 - 2p - 2) - x, 

N = z + pl(a — p) + t(2ap — p 2 — 1) — pm. 

Algumas observações simples: a única forma de P ser positivo é se A = B = • • • = 
N = 0; neste caso seu valor será k + 2. Vemos assim que para produzir um número 
primo P com este polinómio devemos antes de mais nada tomar k = P — 2. As 
expressões auxiliares viram equações: como A = 0 temos q = wz + h + j. Assim, 
dado k para o qual k + 2 é primo, precisamos procurar valores para as outras 
letras que satisfaçam estas equações. Estes valores de certa forma codificam uma 
demonstração de que P = k + 2 é primo. 

Uma questão relacionada com a de gerar números primos é a de testar se um 
determinado número é primo. Com o advento dos computadores, a partir da dé¬ 
cada de 60, surgiram inúmeras tentativas de se obter um algoritmo eficiente para 
o teste de primalidade de um número. A relevância desse problema tem crescido 
imensamente em anos recentes devido à utilização intensa de números primos em 
algoritmos de criptografia, como os algoritmos RSA e El Gammal para criptografia 
pública. Dessa forma o problema do teste de primalidade se tornou um importante 
problema para a ciência da computação teórica. Sobre esse ponto de vista duas 
coisas são requeridas: um certificado de prova de que o algoritmo realmente produz 
a resposta correta; e uma medida da eficiência do algoritmo, isto é, quão bem o 
algoritmo faz uso dos recursos computacionais (como o tempo ou número de passos 
executados, espaço ou memória utilizada) em função do tamanho da entrada do 
problema para a obtenção da solução. 

Existe um algoritmo bastante simples, devido ao matemático grego Eratóstenes 
(ca. 240 A.C.), para testar se qualquer inteiro positivo n é primo: calcule o resto da 
divisão de n por cada inteiro m com 2 < m < y/n. Se o resto for 0 em algum caso 
então n é composto e encontramos um divisor; se isto nunca ocorrer, n é primo. 
O inconveniente deste algoritmo é que ele é muito lento. O tamanho da entrada 
do algoritmo para um dado número néo tamanho da sua codificação em bits, 
que é aproximadamente k = log 2 n pois 2 k < n < 2 fe+1 . Portanto, em termos do 
tamanho da entrada k, temos que o número de operações é 0(y/n ) = 0( 2 fc / 2 ), ou 
seja, o algoritmo tem complexidade de tempo exponencial no tamanho da entrada. 
Veremos neste trabalho outros testes de primalidade mais rápidos que usam um 
pouco mais de teoria dos números. 
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2 Fundamentos 

Dados dois inteiros d e a, dizemos que d divide a ou que d é um divisor de a ou 
ainda que a é um múltiplo de d e escrevemos 

d | a 

se existir q £ Z com a = qd. Sejam a, n £ Z, n > 0: denotamos o resto da divisão 
de a por n por a mod n; em outras palavras, a mod n é o único inteiro entre 0 e 
n — 1 com n\ (a — (a mod n)). Sejam a,b,n £ Z. Dizemos que o é congruente a b 
módulo n, e escrevemos 

a = b (mod n) 

se n | a — b, ou seja, se (a mod n) = (ò mod n). Por exemplo, temos que 17 = 3 
(mod 7)el0=—5 (mod 3). Pelo algoritmo de Euclides sabemos que dados a,b £Z 
existem c,d £ Z com mdc(a, b) = ad— bc. Se mdc(a, n) = 1 existe portanto d £ Z 
com ad = 1 (mod n) e dizemos que a é invertível módulo n. 

Definimos a função de Euler por 

ip(n) = \{a £ Z-,Q < a < n,mdc(a, n) = 1}| 

onde n £ Z, n > 0 e \X\ denota o número de elementos de X. Temos ip(l) = 
ip{2) = 1, e, para n > 2, 1 < < p(n) < n. Se p é primo, <p(p) = p — 1; mais geralmente 
ip(p k ) = p k — p fe_1 pois ( a,p k ) = 1 see somente se a não é múltiplo de p e há p fe_1 
múltiplos de p no intervalo 0 < a <p k . Mais geralmente, temos 

¥>(rO=«n(l-J) ' 

Os tp(n) números inteiros òi,ò 2 ,..., b v ( r ^ formam um sistema completo de inver- 
tíveis (s.c.i.) módulo n se para todo c £ Z, mdc(c, n) = 1, existe i, 0 < i < <p, 
com c = bi (mod n). Equivalentemente (pelo princípio da casa dos pombos), 
fei, &2, • • •, b v ( n ) formam um s.c.i. módulo n se e somente se mdc(òj,n) = 1 para 
todo i e bi = bj (mod n) implicar í = j. 

Lema 1 Sejam q, n £ Z, n > 0, mdc(g, n) = 1, e foi, fe 2 ,... , 6 v ,( n ) um s.c.i. módulo 
n. Então os inteiros qb±,qb2, ■■■qb ip ( n ) também formam um s.c.i. módulo n. 

Demonstração: Como mdc(g, n) = mdc(ò,;, n) = 1, temos mdc(çò,;,n) = 1. Por 
outro lado, se qbi = qbj (mod n) temos bi = bj (mod n) e i = j. □ 


Teorema 2 (Euler) Sejam a,n£Z, n > 0, tais que ( a,n ) = 1. Então 
a v(n) ^ ^ (mod n). 

Demonstração: Seja fo 1; b 2 , ..., b ip ( n) um s.c.i. módulo n. Pela proposição ante¬ 
rior, os números abi, afe 2 ,... ab v ( n) também formam um s.c.i. módulo n. Assim, 

&i • fe 2 • • • Ú^( n ) — a bi • ob 2 • • • aby,^ (mod n) 

pois módulo n os dois lados têm os mesmos fatores a menos de permutação. Mas 
isto pode ser reescrito como 

• b 2 ■ ■ ■ ò v(n) |4 1 • (6r • ò 2 • • • b v{n) ) (mod n) 

e isto implica a v( - n ^ = 1 (mod n). □ 
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Corolário 3 (Fermat) Se p é primo então, para todo inteiro a, a p = a (mod p). 

Demonstração: Se p \ a, então a p = a = 0 (modp). Caso contrário, ip(p) = 
p — 1, a p_1 = 1 (mod p) e novamente a p = a (mod p). □ 

Se a,n € Z com n > 0 e mdc(a, n) = 1, definimos a ordem de a módulo n, 
denotado por ord n a, como o menor inteiro t > 0 tal que a* I (mod n). 

Proposição 4 Temos que a* = 1 (mod n) se, e só se, ord n a \ t. Em particular, 
para todo a com mdc(a, n) = 1 temos ord„ a \ <p{n). 

Demonstração: Como a ordn a = 1 (mod n), para todo k G N tem-se a k ord " a = 1 
(mod n). Por outro lado, se a* = 1 (mod n), pelo algoritmo da divisão existem 
inteiros q e r tais que 0 < r < ord n a e t = q ord n a + r. Portanto 

1 = a* = a qordn a+r = (a ordn “)« • a r = a r (mod n). 

Ou seja, a r = 1 (mod n). Pela minimalidade de ord„ a, temos que r = 0, i.e., 
ord„ a | t. □ 

A proposição acima nem sempre dá a melhor estimativa para ord n a. Assim, 
por exemplo, para n = 8 temos tp{ri) = 4 mas ord n a | 2 para todo a ímpar. 
Por outro lado, para n primo sempre existe uma raiz primitiva módulo n, isto é, 
um inteiro a com ord n a = n — 1 = <p(n) ([3]). Por exemplo, 2 é raiz primitiva 
módulo 5, pois ords 2 = 4 = <p( 5). Note que se a é raiz primitiva módulo p então 
a 1 , o 2 ,..., a p_1 = a° = 1 formam um s.c.i. módulo p. 

Será importante em alguns casos discutir se a é um quadrado módulo n, i.e., se 
existe b GZ com b 2 = a (mod n). 

Proposição 5 Seja p > 2, p primo. 

(a) Exatamente íí!- dentre os números 1,2,... ,p — 1 são quadrados módulo p. 

(b) Considere a com mdc(a,p) = 1. Temos aT^ = ±1 (modp). Além disso, 

= 1 (mod p) se e somente se a é quadrado módulo p. 

Demonstração: Os quadrados (não nulos) módulo p são 

l 2 = (P - 1) 2 ,2 2 = <P -2) a , - • -, A=A 2 s (^A 2 - 

Note que cada quadrado aparece exatamente uma vez na lista acima pois x 2 = y 2 
(mod p) implica p \ (x + y) (x — y) e portanto x = ±y (mod p) . Isto completa a 
prova do item (a). 

Segue de Fermat que (a^ ) 2 = 1 (mod p). Ora, x 2 = 1 (mod p) implica x = ±1 
(mod p). Assim a 2 = ±1 (mod p). Se a é quadrado módulo p temos a = b 2 e 

a^ = Ip- 1 = 1 (mod p). 

Resta demonstrar que se o não é quadrado módulo p então a 2 = — 1 (mod p). 
Uma forma de completar a demonstração é usar o fato que a congruência X = 
1 tem no máximo raízes módulo p (a demonstração é análoga a de que um 
polinómio de grau k tem no máximo k raízes reais; veja, por exemplo, [3]). Outra 
forma é usar a existência de uma raiz primitiva: se c é uma raiz primitiva módulo 
p temos c 3 ^- = —l (mod p) (de fato, c^~ = 1 (mod p) implica ord p c < e 
c não é raiz primitiva). Mais geralmente, os não quadrados são da forma c k , k 
ímpar. □ 
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3 O teste probabilístico de Miller-Rabin 

A ideia é usar o pequeno teorema de Fermat para testar a primalidade de n: 
tomamos a, 1 < a < n, e calculamos a n ~ 1 mod n. Se n for primo teremos 
a n-i nl0( ] n = p qualquer outro resultado indica que n é composto mesmo sem 
termos encontrado um fator de n. 

Observe que para calcular a m mod n não precisamos calcular a-a- - - a, nn vezes. 
Se m = J2o<í<n N = |_log 2 mj, então definimos 

e*: = ^2 6jv-fc+j2\ Ck = a ek mod n 


que pode ser reescrita recursivamente como 


e 0 • 0, ek+i = 2e k + b N - k , 


c 0 = 1, 


Cfc+l = 


c| mod n, 
ac\ mod n, 


bN-k = 0 , 
bN-k = 1 - 


Fazendo as contas desta forma encontramos cjv = a m mod n com menos de 41og 2 nn 
operações envolvendo inteiros menores do que n 2 . 

Se a" -1 mod n = 1, por outro lado, não demonstramos que n é primo; se n 
for composto satisfazendo o" -1 = 1 (mod n) dizemos que n é um pseudoprimo na 
base a. Pseudoprimos existem mas são raros (ver [4]): o menor pseudoprimo na 
base 2 é 341 = 11 • 31 e existem apenas 21853 pseudoprimos na base 2 menores do 
que 2,5 • IO 10 (contra 1091987405 primos). Pomerance (melhorando um resultado 
anterior de Erdõs) provou que se PTr a (x) é o número de pseudoprimos até x na base 
o temos 

Pn a {x) < x ■ e g 2 i°Siof* s 

para x suficientemente grande (os logaritmos são todos na base e). Vale comparar 
este resultado com o Teorema dos Números Primos, conjecturado por Gaufi e pro¬ 
vado independentemente por Hadamard e de la Vallée Poussin em 1896, que diz que 
o número de primos até x é 



Em particular, há muito mais primos do que pseudoprimos. A proposição abaixo 
exibe uma família infinita de pseudoprimos na base a (para qualquer a > 1 dado). 


Proposição 6 Sejam a > 1 e p primo tal que p > 2 e p não divide a 2 — 1. Então 

_ a 2p - 1 _ a p - 1 aP + 1 
H ~ a 2 — 1 “ a-1 o + l 


é um pseudoprimo na base a. 

Demonstração: Como a ± 1 são inversíveis módulo p e a p = a (mod p) pelo 
pequeno teorema de Fermat, 

aP — 1 aP + 1 

a-1 = o+l = 1 ( ' m ° d ^ 

e verifica-se facilmente que estes números são ímpares donde n = 1 (mod 2 p), ou 
n = 2 kp + 1 para k inteiro. Assim, como a 2p = 1 (mod n) temos a n = a 2kp+1 = 
(a 2p ) k ■ a = a (mod n). □ 
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Uma ideia natural para contornar a dificuldade criada pela existência de pseudo- 
primos é a de testar vários valores de a. É um fato interessante que existam alguns 
raros números compostos n, chamados números de Carmichael, com a propriedade 
de que se 0 < a < n e mdc(a, n) = 1 então a" -1 = 1 (mod n); os menores números 
de Carmichael são: 


561 = 3 11 17, 1105 = 5-13-17, 1729 = 7-13-19, 2465 = 5-17-29, 2821 = 7-13-31; 


não é difícil verificar que estes números satisfazem a definição: encorajamos o leitor 
a tentar. Foi demonstrado recentemente por Alford, Granville e Pomerance que se 
CN(x) é a quantidade de números de Carmichael menores do que x então 

CN(x) > x 


para x suficientemente grande, o que implica na existência de infinitos números de 
Carmichael. 

Podemos refinar o conceito de pseudoprimo para definir pseudoprimos fortes 
na base a. Para definir quando n é um pseudoprimo forte na base a inicialmente 
escrevemos n— 1 = 2 ■ b, com b ímpar. Se n > 2 é primo deve existir um menor valor 
de j para o qual ( a b ) 23 = 1 (mod n) (observe que por Fermat (a 6 ) 2 = 1 (mod n)). 
Se j = 0 isto significa que a b = 1 (mod n); caso contrário temos (a 6 ) 2 ^ = — 1 

(mod n) já que — 1 é o único valor de x diferente de 1 (módulo n) para o qual 
x 2 = 1 (mod n). Assim, dizemos que n composto ímpar é um pseudoprimo forte 
na base a se ou a h = 1 (mod n) ou existe f < k com (a 6 ) 2 = —1 (mod n). 
Claramente todo pseudoprimo forte na base o é um pseudoprimo na base a mas 
pseudoprimos fortes são mais raros do que pseudoprimos. Observe também que 
se calcularmos mod n pelo algoritmo sugerido no início desta seção então os 
números ( a b ) 2 mod n serão calculados de qualquer forma (são os cjv-j daquele 
algoritmo); assim este novo teste tem custo computacional praticamente igual ao 
do primeiro teste. 

Existem infinitos pseudoprimos fortes em qualquer base a > 1: Pomerance pro¬ 
vou que, se SPir a (x ) é o número de pseudoprimos fortes na base a menores ou iguais 
a x então 

SPn a (x) > e V osx)5/14 

para todo x suficientemente grande (ver [7]). Não existem “números de Carmichael 
fortes”: para todo número composto ímpar n existe 0 < a < n com mdc(a, n) = 1 
e tal que n não é um pseudoprimo forte na base a. Melhor ainda, os valores de a 
que servem de testemunha para a não-primalidade de n são sempre relativamente 
frequentes. Mais precisamente, seja 


a(n) = 


íp{n) 


| {a | 0 < 


n,n é um pseudoprimo forte na base a} |. 


Então para todo número composto ímpar n > 9 temos a(ri) <1/4. A igualdade 
vale exatamente para os compostos n das seguintes formas: 


n = P1P2, Pi,P2 primos, pi = 3 (mod 4), p 2 = 2pi — 1; 
n = P1P2P3, pi , P2 , Ps primos, Pi = 3 (mod 4), n número de Carmichael. 

Os menores exemplos de números compostos n da primeira forma para a qual a(n) = 
1/4 são n = 15 = 3 • 5, n = 91 = 7-13en = 703 = 19 • 37. O menor exemplo 
de número composto da segunda forma é n = 8911 = 7-19-67. Sabe-se que 
existem menos do que números compostos n destas formas menores do que 

N\ conjectura-se que o número de compostos n da primeira forma seja maior do 
que A^ã -6 ). Na maioria dos casos a(n) é muito menor. 
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O resultado acima serve de base para o algoritmo Miller-Rabin, um exemplo de 
teste de primalidade probabilístico. Dado n, tomamos t valores de a ao acaso no 
intervalo 1 < a < n e verificamos para cada a se n passa no teste de primalidade 
forte na base a. Se n for ímpar composto, a probabilidade de que um dado a acuse 
a não-primalidade de a é maior do que 3/4 (pelo teorema); assim, a probabilidade 
de que n escape a t testes é menor do que 4 _t . Este tipo de teste é extremamente 
útil em aplicações (como em criptografia) onde é importante criar primos relativa¬ 
mente grandes mas não existe a preocupação com demonstrações ou com perfeição 
absoluta. 


4 Testes determinísticos para números especiais 

Em outros contextos estamos interessados em testes determinísticos: dado um in¬ 
teiro positivo n, queremos decidir, com certeza e em tempo curto (i.e., polinomial 
no número de dígitos), se n é primo ou composto. 

Podemos modificar o algoritmo de Miller-Rabin para torná-lo determinístico 
testando todos os valores de a em um intervalo suficientemente grande: uma famosa 
generalização da hipótese de Riemann implica que o intervalo de 1 até 2(logn) 2 já é 
grande o bastante ([2]). Este algoritmo é rápido e geral, mas infelizmente depende 
de uma conjectura. 

O seguinte resultado mostra que sob certas hipóteses as contas do teste de Miller- 
Rabin podem demonstrar a primalidade de n (com um único valor de a). De fato, 
muitos dos maiores primos conhecidos são desta forma. 

Teorema 7 (Proth) Seja n > 1 inteiro. Suponha que n — 1 = 2*6 com 2* > 6. 
Então n é primo se, e somente se, existe um inteiro a com a(” -1 )/ 2 = — 1 (mod n). 

Demonstração: Suponha que existe a como acima. Seja q \ n, q primo. Temos 
(a b ) 2k l = -1 (mod q) donde ord,a 6 = 2*. Assim 2* | q - 1 e q > 2*. Se n for 
composto temos 

n > (2* + l) 2 > (2*6 + 1) + 2* +1 > n, 

uma contradição. 

Se n é primo, podemos tomar a qualquer não quadrado módulo n; ou seja, 
metade dos inteiros entre 1 e n — 1 serve como a. □ 

Dada a fatoração de n — 1 temos como generalizar este resultado para tentar 
demonstrar a primalidade de n. 

Proposição 8 Seja n > 1. Se para cada fator primo q de n— 1 existe um inteiro 
a q tal que a” -1 = 1 (mod n) e ag" -1 ^ 9 ^ 1 (mod n) então n é primo. 

Demonstração: Seja q kq a maior potência de q que divide n — 1. A ordem de a q 
módulo n é um múltiplo de q kq , donde <p(n) é um múltiplo de q kq . Como isto vale 
para todo fator primo q de n — 1, <fi(ri) é um múltiplo de n — 1 e n é primo. □ 

Proposição 9 (Pocklington) Sen — 1 = q k R onde q é primo e existe um inteiro 
a tal que a" -1 = 1 (mod n ) e mdc(a^” -1 ^ 9 — l,n) = 1 então qualquer fator primo 
de n é côngruo a 1 módulo q k . 

Demonstração: Se p é um fator primo de n então a" -1 = 1 (mod p) e p não 
divide a/" — 1, donde ord p a, a ordem de a módulo p. divide n — 1 mas não 

divide (n — 1 )/q. Assim, q k | ord p o | p — 1, donde p = 1 (mod q k ). □ 
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Corolário 10 Se n — 1 = FR, com F > R e para todo fator primo q de F existe 
o > 1 tal que a ra_1 = 1 (mod n) e mdc(a^ n_1 ^ 9 — l,n) = 1 então n é primo. 

Demonstração: Seja q um fator primo de F e q k a maior potência de q que 
divide F\ pela proposição anterior, todo fator primo de n deve ser côngruo a 1 
módulo q k . Como isto vale para qualquer fator primo de F, segue que qualquer 
fator primo de n deve ser côngruo a 1 módulo F. Como F > y/n, isto implica que 
n é primo. □ 

De fato, basta conhecer um conjunto de fatores primos cujo produto seja maior 
do que (n — l) 1 / 3 para, usando o resultado de Pocklington, tentar demonstrar a 
primalidade de n (o que deixamos como exercício). 

A melhor maneira conhecida de gerar primos extremamente grandes é procurar 
primos de Mersenne, i.e., números da forma 2 P — 1, p primo. Deixamos como exer¬ 
cício para o leitor verificar que se 2” — 1 é primo então n é primo. Os primeiros 
primos de Mersenne são 3, 7, 31 e 127, correspondentes a p = 2,3,5,7; por outro 
lado, 2 11 — 1 = 2047 = 23 • 89. São conhecidos hoje (abril de 2011) 47 primos de 
Mersenne e os 9 maiores primos conhecidos são todos desta forma: o maior deles 
corresponde a p = 43112 609 e tem 12 978189 algarismos; os outros oito corres¬ 
pondem aos seguintes valores de p: 42 643 801, 37156 667, 32 582 657, 30402 457, 
25 964951, 24036 583, 20 996 011, 13466 917. Conjectura-se que existam infinitos 
primos de Mersenne. Lembramos que um inteiro positivo é perfeito se ele for igual 
à soma de seus divisores positivos próprios. Os primeiros números perfeitos são 6 e 
28; não é difícil verificar que os números perfeitos pares são exatamente os números 
da forma 2 p ~ 1 (2 p — 1), onde 2 P — 1 é primo de Mersenne. Um dos poucos problemas 
em aberto da Matemática que foram formulados na antiguidade é decidir se existem 
números perfeitos ímpares. 

O critério de Lucas-Lehmer permite determinar com facilidade se um número 
de Mersenne é primo. Dado um primo p > 2, queremos decidir se n = 2 P 1 é 
primo. Sejam So = 4, 5i = 4 2 — 2 = 14, ..., Sk+i = S% — 2. Temos que n é primo 
se e somente se S , p _ 2 é múltiplo de 2 P — 1. Esta seqüência cresce muito rápido, mas 
basta fazer as contas módulo 2 P — 1 (ver [3], [5]). O seguinte fato crucial para a 
demonstração pode ser verificado pelo leitor: para todo k > 0, 

S fe = (2 + ^j 2 * + (2 - \/3) 2 \ 

Note que um número de Mersenne M p é escrito na base 2 como 111... 111, com p 
algarismos. Uma generalização natural seriam os números escritos como 111... 111 
em outra base, isto é, números da forma ( B p — Í)/(B — 1), onde B é a base. É fácil 
ver que um tal número só pode ser primo se p for primo. No caso B = 10 estes 
números são conhecidos como repunits. Não se conhece um critério análogo ao de 
Lucas-Lehmer para testar a primalidade de números deste tipo quando B > 2. O 
maior primo conhecido desta forma é 

28 839 8317 - 1 
28 838 ’ 

que tem 37 090 algarismos. Os únicos repunits (comprovadamente) primos conhe¬ 
cidos são para p = 2,19,23,317,1031. Recentemente (entre 1999 e 2007), foram 
descobertos os seguintes valores de p para os quais os repunits correspondentes são 
provavelmente primos, i.e., passam por diversos testes probabilísticos de primali¬ 
dade: 49 081, 86453, 109 297 e 270343. De acordo com os testes já realizados, 
qualquer outro repunit primo deve ter mais de 400 000 dígitos. 
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5 O teste determinístico de 
Agrawal, Kayal e Saxena 

Permaneceu em aberto por muito tempo se existe um critério de primalidade deter¬ 
minístico, rápido e geral. Este problema for resolvido por Agrawal, Kayal e Saxena, 
que criaram um tal algoritmo, também baseado no teorema de Fermat. Suponha¬ 
mos que x é uma variável, a um inteiro e p um número primo. Usando o binômio 
de Newton temos que 

(*+«>' 

j =0 

mas nos casos em que j é diferente de 1 e p, temos p | (/) logo todos os termos 
intermediários desta expansão são divisíveis por p, assim 

(,x + a) p = x p + oP = x p + a (mod p) 

onde na última igualdade usamos o teorema de Fermat (aqui Po = P\ (mod N) 
significa que existe um polinómio S de coeficientes inteiros com P\— Po = NS, ou, 
equivalentemente, que para todo k os coeficientes de x k em P 0 e Pi são côngruos 
módulo n). Reciprocamente, se (x + a) N = x N + a (mod N) para algum inteiro o 
com mdc(a,n) = 1, vemos que N divide todos os coeficientes binomiais (^) com 
0 < j < N. Se N fosse composto e q é um fator primo de N, então 

(N\ _ N{N - 1)... (N - q + 1) 

U; <7(9- 1) - - -1 

Vemos que os únicos termos que são múltiplos de q nesta expressão são o N no 
numerador eopo denominador, assim se q k é a maior potência de q que divide 
N, temos que q k \ (^), logo N \ (^), absurdo. Assim, N é primo. Desta forma 
obtemos o seguinte critério de primalidade: 

N é primo (x + a) N = x N + a (mod N), para todo a < N 

{x + a) N = x N + a (mod N), para algum a < N, com mdc(a, N) = 1. 


Este critério, por enquanto, é ineficiente, porque temos que calcular todos os coefi¬ 
ciente de {x -(- cl)N e mostrar que todos os coeficientes intermediários são divisíveis 
por N. Outra observação importante é que se os polinómios (x + a) N e x N + a são 
iguais módulo N, então eles deixam o mesmo resto módulo N quando divididos por 
qualquer polinómio mônico. Em particular, se dividimos por x r — 1 temos que 


N é primo 


(x + a) N = x N + a (mod x r — 1, N) 
para todo a < N, r e N 


(onde Po = Pi (mod Q, N ) significa que existem polinómios R, S com coeficientes 
inteiros tais que Pi — Po = QR + NS). 

O fato importante, mostrado por Agrawal, Kayal e Saxena, é que para garantir a 
primalidade de N só precisamos testar que esta congruência é válida para um valor 
especial de r (na versão original um r primo para o qual r — 1 tem um fator primo 
q > 4 y/r log N, o qual divide a ordem de n módulo r) que depende polinomialmente 
de log N e alguns poucos valores de a (veja [1], [3]). 


1. Entrada N > 1. 


2. Se N = a b com b > 1, retorna COMPOSTO. 

3. Encontrar o menor r tal que ord r N > \(log TV) 2 . 
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4. Se mdc(a, N) > 1 para algum primo a<r, retorna COMPOSTO. 

5. Se VN < r, retorna PRIMO. 

6. Para a = 1 até [y/ <p(r)/2\og 2 N\ faça: Se ( x + a) N ^ x N +a (mod x r — 1, N), 
retorna COMPOSTO; 

7. Retorna PRIMO. 

A outra pergunta proposta por Gaufi permanece em aberto: se existe algoritmo 
rápido para fatorar inteiros. Um tal algoritmo teria grande relevância prática, com¬ 
prometendo as formas mais populares de criptografia. Existe ainda a possibilidade 
de que não exista um algoritmo rápido, mas que ainda assim exista uma máquina (no 
sentido físico) capaz de fatorar inteiros rapidamente. De fato, a mecânica quântica 
parece permitir a construção de um computador quântico e Peter Shor encontrou 
um “algoritmo” que permite a um computador quântico fatorar inteiros em tempo 
polinomial [8]. 
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